Eredetileg a szakértők abban hitben éltek, hogy a közelmúltban nyilvánosságra hozott FREAK nevű SSL/TLS biztonsági rés nem érinti a Windowsokat, azonban a Microsoft csütörtökön elismerte, hogy az operációs rendszer család összes támogatott verzióját érinti.

A Microsoft szerint az SSL/TLS azonosítási protokollt megvalósító Secure Channelben (Schannel, biztonságos csatorna) van a biztonsági rés. Egy támadó arra tudja használni ezt a hibát, hogy egy titkosított SSL/TLS munkamenetet átkényszerítsen a jóval gyengébb export-szintű (nyilvános kulcsú) RSA titkosításra. Egy man-in-the-middle (vagyis a két kommunikációs szereplő közé befurakodó) támadás segítségével a rosszindulatú résztvevő elfoghatja és visszafejtheti a titkosított forgalmat.

A Microsoft ugyanakkor azt állítja, semmilyen bizonyíték nincs arra nézve, hogy a biztonsági rést bárki is valaha kihasználta volna élesben.

„A vizsgálat lezárása után a Microsoft meg fogja tenni a megfelelő lépéseket az ügyfelei védelmében. Ez jelenthet egy a havi menetrendbe (Patch Tuesday) illeszkedő biztonsági frissítést, de akár egy menetrenden kívülit is, az ügyfelek igényeitől függően” – jelentette ki a cég egy tanácsadói ülésen.

Addig a felhasználóknak azt ajánlják, hogy tiltsák le az RSA kulcspáros titkosítás használatát a Windows Vista, vagy annál régebbi verziók Group Policy Object Editorában (Csoportházirend objektum-szerkesztő). Ez a megoldás hatékony, hiszen a támadás csak akkor működhet, ha a szolgáltatás támogatja az export-szintű titkosítási megoldást.

A FREAK (Factoring attack on RSA-EXPORT Keys, RSA-EXPORT kulcsos faktoring támadás) érinti a legtöbb népszerű titkosítási szoftverkönyvtárat, beleértve az OpenSSl 1.0.1k (2015 február) előtti verzióit, a 2014. november 10. előtti Boring SSL verziókat, a 2.1.2-nél korábbi LibReSSL verziókat, és az Apple Secure Transportot is.

Az olyan böngészők, mint az Internet Explorer, a Chrome andoridos és iOS-es verziója, az OS X-en és iOS-en futó Safari, a gyári androidos böngésző, a BlackBerry Browser és az Opera OS X-en és Linuxon futó verziója mind érintettek. A Google időközben megpatchelte a Chrome OS X verzióját, az Apple pedig a jövő hétre ígéri a Safari javítását.

freak

A biztonsági rés helyzetét figyelő freakattack.com jelentése szerint március harmadikán még a böngészők számára megbízható tanúsítványt szolgáltató HTTP szerverek (népszerűbb nevükün webszerverek) több, mint egyharmada veszélyben volt. A problémában olyan népszerű weboldalak is érintettek, mint például az Americaan Express, a 4Shared, a GroupOn, az MIT vagy a TalkTalk.

Az export-szintű titkosítást immár 25 éve, 1990-ben vezették be, amikor az Egyesült Államok kormánya arra keresett szervezeteket, hogy gyengítsék az országon kívüli titkosítási kulcsrendszereket.

Ma egy támadó könnyedén visszafejtheti a személyes (RSA) kulcsot, amely a kommunikáéció visszafejtéséhez szükséges. A kriptográfia szakértő Matthew Green szerint egy ilyen folyamat 7,5 óra alatt fejezhető be az Amazon E2 szolgáltatásának használatával, és mindössze durván 104 dollárba kerül.

A szakértők azt tanácsolják a webszerverek adminisztrátorainak, hogy tiltsák le az export-szintű megoldásokat, hogy enyhítsék a biztonsági rést. A szervereket pedig érdemes letesztelni az online ingyen elérhető SSL FREAK Check, vagy a Qualys’ SSL Server Test eszközökkel.

MEGOSZTÁS
Előző cikkFrissült a VLC, eltűnt a béta a nevéből
Következő cikkBemutatjuk a Coship BVC-X1 vízálló phabletet
Főszerkesztő, vagyis ő kiabál a szerkesztőség többi tagjával akik helyette dolgoznak. Valamikor régen sokat tett a Lumia 710 főzött ROM-ok elterjedéséért. Legújabb szerzeménye egy Lumia 640, az előző pedig egy ASUS Transformer Book T100-as, amit a rá jellemző kedvességgel Terminátornak hív, bár azóta már egy Lenovo T410-et használ a mindennapokban. Jelenleg WordPress oldalak dizájnjával bohóckodik, illetve keresi az ideális webszerver konfigurációt.